Phoenix Contact Software ProConOs y MultiProg no disponen de autenticación

Fecha de publicación:

14/01/2015

Importancia:

5 - Crítica

Recursos afectados:

Todas las versiones de ProConOs y MultiProg.

Descripción:

ProConOs y MultiProg de Phoenix Contact Software permiten a cualquier usuario de la red interactuar con el proceso de control y cambiar su lógica.

Solución:

Por el momento no hay ninguna actualización que implemente autenticación, con lo cual se recomienda minimizar el acceso de red de los dispositivos, y emplear VPNs si es necesario el acceso remoto.

Detalle:

El protocolo de Phoenix Contact Software ha sido diseñado sin ningún método de autenticación, por lo que cualquiera con acceso a la red podría inyectar comandos al mismo.

Se ha asignado el CVE-2014-9195 a esta vulnerabilidad.

Referencias:

Phoenix Contact Software ProConOs and MultiProg Authentication Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Phoenix Contact Software ProConOs y MultiProg no disponen de autenticación

Control de acceso incorrecto en Matrikon OPC Server

Vulnerabilidad DoS en Logix Controllers de Rockwell Automation

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric